Beiträge

October 9, 2019

Verarbeiten Sie Sozialdaten im öffentlichen Auftrag?

Dann wundern Sie sich nicht, wenn die nächste Ausschreibung eine aktuelle ISO 9001 oder ISO 27001-Zertififzierung verlangt. Laut einem Beschluss der Vergabekammer des Bundes vom 19.07.2019 ist dies besonders durch die hohen gesetzlichen Anforderungen an die Sicherheit der Verarbeitung von Sozialdaten gerechtfertigt und wird auf § 49 Abs. 1 VgV gestützt. Dabei spielt es keine Rolle, ob der öffentliche Auftraggeber selbst zertifiziert ist, denn bei internen Prozessen könne man die Sicherheit der Verarbeitung schließlich selbst einschätzen.

Übrigens kann eine Werbeaussage „Zertifiziert nach ISO 9001“ auch bei ordnungsgemäßer Zertifizierung eine irreführende Wettbewerbsverletzung darstellen, wenn nicht klar ersichtlich ist, auf welche Dienstleistung sich die Zertifizierung bezieht, entschied das OLG Düsseldorf.



October 8, 2019

OLG Düsseldorf: Kartellamt vs. Facebook

Nachdem sich die Datenschutzaufsichtsbehörden schon länger für die Verarbeitung von Nutzerdaten durch Facebook interessierten, hatte zuletzt auch das Bundeskartellamt (BKartA) die Datenverarbeitung geprüft und festgestellt, dass Facebook seine Marktmacht durch den Umfang der Sammlung, Verwertung und Zuführung von Daten aus dem Nutzerkonto missbrauche. Aus diesem Grund hat das BKartA dem Unternehmen im Februar 2019 untersagt, Nutzerdaten aus verschiedenen Quellen zusammenzuführen. Gegen diese Anordnung hat Facebook beim OLG Düsseldorf Rechtsmittel eingelegt. Der 1. Kartellsenat des OLG Düsseldorf hat daraufhin Zweifel an der Rechtmäßigkeit der kartellbehördlichen Anordnung geäußert, da ein möglicher Verstoß gegen Datenschutzbestimmungen nicht zugleich einen Verstoß gegen das Wettbewerbsrecht bedeute. Über den Bestand der Anordnung des BKartA wird nun in dem beim OLG Düsseldorf anhängigen Beschwerdeverfahren entschieden werden.



September 3, 2019

Stößt sich Berlin am Datenschutz gesund?

Arm, aber sexy“ und alimentiert über den Finanzausgleich – damit ist in Berlin vielleicht bald Schluss, denn der Datenschutz könnte sich als interessante Einnahmequelle für das Land erweisen: Die Berliner Beauftragte für den Datenschutz informierte das Berliner Abgeordnetenhaus laut Medienberichten kürzlich über DSGVO-Bußgelder in Rekordhöhe, die sich gegen zwei Berliner Unternehmen abzeichnen. Das eine erhielt offenbar zwei Bußgeldbescheide in Höhe von insgesamt 200.000 EUR. Das andere darf sich wohl auf einen Bescheid im zweistelligen Millionenbereich freuen. Dies wären dann die bisher höchsten Bußgelder, die in Deutschland gemäß DSGVO verhängt wurden. Diese sieht Bußgelder von bis zu 20 Mio. EUR oder bis zu 4 % des gesamten Vorjahresumsatzes eines Unternehmens vor. In Berlin fließen die Bußgelder in den Landeshaushalt. Den Finanzsenator dürfte es freuen.



September 2, 2019

Zulässigkeit der Ausweiskopie

Im Geschäftsleben ist die Kopie des Ausweises schon länger ein beliebtes Mittel zur Identitätskontrolle. Dabei ist das Kopieren von Ausweisdokumenten überhaupt erst seit 2017 erlaubt. Nun darf nur der Inhaber selbst die Kopie vornehmen und diese an Dritte weitergeben. Die mit der Speicherung einer Kopie verbundene Verarbeitung der dort enthaltenen personenbezogenen Daten soll nur mit Einwilligung des Inhabers zulässig sein. Das ist deswegen problematisch, weil die Feststellung der Identität durchaus auch im Rahmen einer Vertragserfüllung oder eines berechtigten Interesses liegen kann. Ein Infopapier des LDI NRW zum Thema erwähnt die Einwilligung nur nebenbei und stellt ansonsten auf die Erforderlichkeit ab. Damit bleibt unklar, auf welchen Rechtsgrundlagen DSGVO abgestellt werden kann. In jedem Fall sollte die Kopie nicht dauerhaft gespeichert, sondern nach Identitätsfeststellung gelöscht werden.



August 1, 2019

Verteidigung der Persönlichkeitsrechte durch Flugabwehr #Drohnentod

Das Fliegen einer kameraausgestatteten Drohne über dem Nachbargrundstück ist keine kindlich-unschuldige Freizeitbeschäftigung, sondern eine Beeinträchtigung der Persönlichkeitsrechte der Nachbarn. Das musste ein Drohnenpilot vor dem Amtsgericht Riesa lernen, der mit der Drohne seines Cousins das gegen Blicke geschützte Nachbargrundstück überflogen, die Ehefrau des Nachbarn verfolgt und deren gemeinsame Kinder verängstigt hatte. Der Nachbar griff kurzerhand zum handelsüblichen Luftgewehr und holte die Beeinträchtigung der Persönlichkeitsrechte seiner Familie mit zwei Schüssen vom Himmel, was zum Totalschaden des Fluggeräts führte. Das Gericht sprach den Nachbarn vom Vorwurf der Sachbeschädigung frei, da dieser im bürgerlich rechtlichen Notstand (§ 228 BGB) gehandelt hatte. Erst luftgestützt ausspähen, dann noch Strafantrag stellen: Mimimi.



July 30, 2019

Bestellpflicht für Datenschutzbeauftragte

Der Datenschutzbeauftragte – für manche das Unwort des Jahres 2018. Die Pflicht zur Bestellung bestand zwar schon vorher,  viele beschäftigen sich trotzdem erst aus Anlass der DSGVO mit dieser Institution. Die Nachfrage stieg massiv an. Nun wird die Grenze für die Bestellpflicht von 10 auf 20 dauerhaft datenverarbeitende Personen angehoben. So hat es der Bundestag im 2. DSAnpUG-EU beschlossen. Kleinere Unternehmen sollen entlastet werden. Die müssen aber natürlich auch ohne DSB-Pflicht die Vorgaben der DSGVO weiter erfüllen. Hierzu hätte man besser beim Beratungsbedarf ansetzen sollen, nicht bei der Beratungspflicht. Viele Vorgaben des Datenschutzes sind immer noch ungeklärt oder so komplex und undurchdringlich, dass diese für Laien ohne Hilfe kaum umzusetzen sind. So manche gesparte DSB-Vergütung dürfte künftig direkt in verhängte Bußgelder fließen.



July 4, 2019

Kundendaten – Augen auf beim Unternehmenskauf

Werden Unternehmen verkauft, sind die Kundendaten oft besonders wertvoll. Sollen sie im Wege des Verkaufs an ein anderes Unternehmen übergehen (Asset Deal), ist beim Datenschutz Vorsicht geboten. Im Juli 2015 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) mitgeteilt, sowohl gegenüber dem Verkäufer als auch gegenüber dem Erwerber im Rahmen eines Asset Deal Geldbußen in fünfstelliger Höhe wegen datenschutzwidriger Übertragung von Kundendaten verhängt zu haben. Das veräußernde Unternehmen hatte die Kundendaten dabei in datenschutzrechtlich unzulässiger Weise übermittelt, während das erwerbende Unternehmen die Daten datenschutzwidrig erhoben hatte.

Als Guideline hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) (unter Ablehnung der Berliner – und der Sächsischen Aufsichtsbehörde) im Mai 2019 Hinweise zur Durchführung datenschutzkonformer Asset Deals beschlossen. Dabei wurden die folgenden Fallgruppen gebildet, die bei einer Prüfung des berechtigten Interesses (Art. 6 Abs. 1 f DSGVO) im Rahmen der Abwägung zu berücksichtigen sind.

  • Bei der Veräußerung von Kundendaten bei laufenden Verträgen soll die zivilrechtliche Genehmigung der Kunden nach § 415 BGB (Schuldübernahme) die datenschutzrechtliche Zustimmung zum Übergang der Kundendaten mit umfassen.
  • Personenbezogene Daten von Bestandskunden, bei denen die letzte Vertragsbeziehung länger als 3 Jahre zurückliegt, sollen übermittelt werden, aber nur zum Zweck der Erfüllung der gesetzlichen Aufbewahrungspflichten genutzt werden dürfen. Die Bestimmung der Frist ergibt sich aus der regelmäßigen 3-jährigen Verjährungsfrist im Sinne von § 195 BGB.
  • Kundendaten, die aus fortgeschrittener Vertragsanbahnung stammen, sowie Bestandskundendaten ohne laufendes Vertragsverhältnis, bei denen die letzte Vertragsbeziehung jünger als 3 Jahre ist, sollen mit Hilfe einer Widerspruchslösung (Opt-out) einschließlich 6-wöchiger Widerspruchsfrist übertragen werden dürfen. Dabei ist zu beachten, dass Bankdaten im Gegensatz zum Zahlungsverhalten davon nicht erfasst werden sollen. Die Übermittlung der Bankdaten bedarf einer datenschutzrechtlichen Einwilligung gemäß Art. 6 Abs. 1 a) in Verbindung mit Art. 7 DSGVO.
  • Liegt der Fall vor, dass offene Forderungen zivilrechtlich gemäß §§ 398 ff. BGB abgetreten werden, soll die Übertragung der Kundendaten auf der Rechtsgrundlage von Art. 6 Abs. 1 f) DSGVO erfolgen dürfen. Das soll jedoch nicht gelten, wenn eine Forderungsabtretung durch Vereinbarung ausgeschlossen ist (§ 399 2. Alt. BGB, § 354a HGB), da dann die schutzwürdigen Interessen der Betroffenen überwiegen.
  • Kundendaten, die zu besonderen Kategorien von personenbezogenen Daten nach Art. 9 Abs. 1 DSGVO zählen, dürfen nach dem Willen des EU-Gesetzgebers nur mit einer ausdrücklichen Einwilligung der Betroffenen übermittelt werden.

Aus datenschutzrechtlicher Sicht ist beim Unternehmenskauf zunächst die konkrete Fallkonstellation zu bestimmen, um dann die Voraussetzungen für den Übergang von Kundendaten festzulegen. An der Klarstellung durch die Aufsichtsbehörden fällt positiv auf, dass nicht in allen Fällen eine datenschutzrechtliche Einwilligung erforderlich sein soll. Zudem bieten sich über die von der DSK genannten Lösungen hinaus noch weitere Gestaltungsmöglichkeiten an. Insbesondere ist jeweils zu überlegen, inwiefern einzelne Aufgaben im Rahmen der Überführung von Kunden auch im Wege einer Auftragsverarbeitung umgesetzt werden können.




April 5, 2019

das neue Gesetz zum Schutz von Geschäftsgeheimnissen

Der Bundestag hat das neue Gesetz zum Schutz von Geschäftsgeheimnissen am 21.03.2019 verabschiedet. Es wird voraussichtlich noch 2019 in Kraft treten. Damit werden sich die Voraussetzungen für das Vorliegen von Geschäftsgeheimnissen und deren Schutzumfang erheblich ändern. Insbesondere werden Informationen als Geschäftsgeheimnis nur dann geschützt sein, wenn angemessene Geheimhaltungsmaßnahmen zu ihrem Schutz getroffen wurden.

Lesen Sie weiter >



April 2, 2019

Ich – einfach Datenschutzvollstrecker

Sie machen womöglich sonntags gelegentlich einen entspannten Spaziergang. Sie schlendern dabei an dem ein oder anderen Haus vorbei und sehen als datenschutzrechtlich aufgescheuchter Mitbürger Kameras, die Sie beim Promenieren filmen. Wenn Sie jetzt denken: „Na und? Ich  habe nichts zu verbergen.“, können Sie hier aufhören, zu lesen. Anderenfalls stellen Sie sich womöglich die Frage: Kann ich mich dagegen wehren?
Lesen Sie weiter >